本框架的一些敏感数据放在./__data__路径下,并不是传统的程序啥都往数据库里面放,请确保这个路径不会被外网访问
其他诸如xml,less,jsraw,data,publishdata,log,htaccess,zip,rar,ini,bat,sh之类的文件也要确保不被外网访问
参见:nginx配置示例.conf
外部获取的数据,如$_GET,$_POST都会被htmlentity_encode转码成安全字符串,避免注入
如果确实需要使用原始数据请用htmlentity_decode解码后使用,具体参见本教程章节:特殊之处->外部数据接收
提交表单时如果需要防范机器人建议添加令牌或者验证码
演示版本中的短信验证码会被报到前台直接弹出,请注意处理
本框架不是前后端分离框架,大量逻辑输出都依赖于php,如果压力较大可以使用opcache,请注意opcache的清除字节码的方式
因为本框架的命名一般都比较长,包括css各种类名什么的,建议开启nginx的gzip,如果php.ini里面也开启了gzip请注意是否冲突,实测可以把css的传输数据压到原始的10%
推荐使用宝塔(bt.cn),默认是开启gzip的,各种配置什么的都很方便
推荐开启mysql的缓存,也可以灵活使用memcache,redis之类的
框架内默认会在每次访问的时候都去检测今天的数据报表有没有生成,建议优化成每天00:00至00:01之间检测,同时使用定时任务,保证每天00:00至00:01之间至少一次访问本站的前台页面,比如定时任务每天00:00:30访问一次,这样可以保证每天的数据报表正常生成